このセクションでは、SonicWALL SonicOS で MAC-IP アンチスプーフ保護を計画、設計、および実装する方法について説明します。
MAC および IP アドレスをベースにした攻撃は、今日のネットワーク セキュリティ環境でますます一般化しています。この種の攻撃は、ローカル エリア ネットワーク (LAN) を標的にすることが多く、ネットワークの外部からも内部からも行われることがあります。実際、オフィスの会議室、学校、図書館など、内部 LAN がある程度公開されている場所ならどこでも、この種の攻撃の緒になる可能性があります。これらの攻撃にはさまざまな異名があり、 man-in-the-middle 攻撃、ARP ポイズニング、SPITS などと呼ばれています。MAC-IP アンチスプーフ機能は、ネットワークへのアクセスを制御する種々の方法を管理者に提供し、OSI 階層 2/3 へのスプーフィング攻撃を排除することにより、これらの攻撃のリスクを減じます。
MAC-IP アンチスプーフ機能は 2 つの点に重点的に取り組んでいます。その 1 つは受付制御です。 これはどの機器にネットワークへのアクセスを許すかを管理者が選択できるようにするものです。もう 1つは、第 2 層へのサービス拒否攻撃などのスプーフィング攻撃の排除です。これらの目標を達成するためには、2 つの情報キャッシュを構築する必要があります。 それは MAC-IP アンチスプーフ キャッシュと ARP キャッシュです。
MAC-IP アンチスプーフ キャッシュは、着信パケットを検証し、ネットワーク内に入れてよいかどうかを判定するためのものです。着信パケットの送信元の MAC アドレスと IP アドレスがこのキャッシュ内から検索されます。それらのアドレスが見つかれば、そのパケットの通過が許可されます。MAC-IP アンチスプーフ キャッシュは、次のサブシステムのうちの 1 つ以上のものから構築されます。
ARP キャッシュは次のサブシステムから構築されます。
MAC-IP アンチスプーフ サブシステムは、ARP キャッシュをロックすることで送信 (イーグレス) 制御を実現し、不正な機器や望ましくない ARP パケットによって送信パケット (ネットワークから出ていくパケット) がなりすましに利用されないようにします。これにより、マッピングに基づいてファイアウォールで意図しない機器にパケットがルーティングされるのを防ぎます。また、ARP キャッシュ内のクライアントの MAC アドレスを更新して、man-in-the-middle 攻撃も防ぎます。